В России предложили освободить от уголовной ответственности специалистов по кибербезопасности, которые добросовестно проверяют информационные системы на уязвимости. С соответствующей законодательной инициативой выступил депутат от «Единой России», член комитета Госдумы по информационной политике. Эксперты в области IT и права признают актуальность предложения, но подчеркивают необходимость его тщательной проработки, чтобы новые нормы не создали дополнительных рисков для так называемых «белых хакеров» и не стали лазейкой для злоумышленников.
Пакет поправок в три ключевых закона
Автором инициативы является член комитета Госдумы по информационной политике Антон Немкин. Он подготовил пакет законопроектов, призванных легализовать деятельность «белых хакеров» — специалистов, которые с согласия владельцев ищут уязвимости в системах для их последующего устранения. Изменения планируется внести сразу в три документа: Уголовный кодекс (УК РФ), Гражданский кодекс и Федеральный закон «Об информации, информационных технологиях и о защите информации».
Как пояснил депутат, цель поправок — устранить правовые риски для людей, которые проверяют безопасность информационных систем. Несмотря на очевидную пользу их работы для профилактики кибератак, с юридической точки зрения они находятся в уязвимом положении. Немкин отмечает, что защита цифровой инфраструктуры должна носить проактивный, а не реактивный характер.
Конкретно поправки предполагают следующее: исключение из-под действия уголовной статьи о несанкционированном доступе (ст. 272 УК РФ) действий по тестированию безопасности, проведенному в рамках закона. Гражданский кодекс может получить норму, разрешающую законному владельцу копии программы исследовать ее для выявления уязвимостей с обязательством сообщать о найденных проблемах правообладателю. Третий законопроект даст владельцам информационных систем право привлекать внешних специалистов для проведения аудита безопасности.
Автор инициативы, Антон Немкин, обладает профильным образованием (окончил Академию ФСБ РФ по IT-специальности) и опытом работы в сфере информационных технологий, что подчеркивает его компетентность в данном вопросе.
Устранение правового парадокса и вызовы регулирования
Эксперты указывают на существующий правовой парадокс: методы работы «белых» и «черных» хакеров зачастую идентичны — это поиск уязвимостей и попытки проникновения в систему. Разница лишь в целях и наличии разрешения. Внешне действия «белого» хакера могут формально подпадать под состав преступления, и сегодня достаточно заявления, чтобы возбудить против него уголовное дело. Этот анахронизм, доставшийся от времен, когда IT-сфера только развивалась, сегодня требует исправления.
Артём Ильченко, главный инженер проекта DC Engineering, поддерживает саму идею легализации, отмечая, что регулярное тестирование на проникновение должно стать нормой для любой IT-инфраструктуры. Однако он предупреждает о рисках, связанных с деталями регулирования: нечеткие формулировки в законе могут, наоборот, увеличить правовые риски для добросовестных тестировщиков. Ключевым будет последующий анализ правоприменительной практики.
Екатерина Авдеева, проректор ГАУГН, также считает инициативу важным шагом для устранения юридической неопределенности. Она поясняет, что это позволит в случае непреднамеренного причинения вреда в ходе тестирования (например, сбоя системы) ссылаться на законность своих действий. Однако эксперт подчеркивает, что законопроект должен содержать четкие критерии добросовестности, чтобы не стать прикрытием для злоумышленников, имитирующих «тестирование». Также важно, чтобы поправки были согласованы с позицией Верховного Суда РФ, который в своих разъяснениях пока не затрагивает вопросы легального тестирования по заказу.
«Белые хакеры»: работа на передовой и мировой опыт
Обсуждение легализации «белых хакеров» ведется в России уже не первый год. Климент Кузьмин, управляющий директор OASIS App, приводит наглядный пример рисков, с которыми сталкиваются такие специалисты: обнаружив уязвимость на сайте и сообщив о ней, они могут сами стать первыми подозреваемыми, если позже этой же уязвимостью воспользуются злоумышленники. Поэтому, по его мнению, инициатива абсолютно правильная и долгожданная, хотя ее окончательные последствия станут ясны только после принятия конкретного текста закона.
Наталья Краснобаева, генеральный директор Hopper IT, напоминает, что практика легального «баг-баунти» (вознаграждения за найденные уязвимости) давно и успешно работает во многих странах, включая США. Существуют специальные платформы, связывающие хакеров и компании. В России, по некоторым оценкам, уже десятки тысяч таких специалистов, но они вынуждены действовать в «серой» зоне. Их официальный выход из тени, по мнению эксперта, приведет к бурному развитию направления кибербезопасности, повысит общий уровень защиты систем и принесет значительный экономический эффект за счет предотвращения потенциальных убытков от атак.
Обратите внимание: Европейский бу планшет: тестирование перед покупкой.
Больше интересных статей здесь: Технологии.
Источник статьи: Добросовестное тестирование защищенности информационных систем предлагается вывести из-под уголовной ответственности.